- Des internautes affirment que le Premier ministre, sitôt maintenu à Matignon, a signé un décret concernant les fournisseurs d’accès à Internet et les réseaux sociaux.
- Selon eux, ce texte les oblige à collecter de nombreuses données pendant un an, de la « localisation » aux « messages ».
- En réalité, un décret a bien été adopté dans ce domaine, mais ce n’est pas le premier sur le sujet et il ne touche pas n’importe quel type de données.
Suivez la couverture complète
L’info passée au crible des Vérificateurs
Un décret adopté en plein tumulte politique. Le 15 octobre dernier, quelques jours après l’annonce de son maintien à Matignon (nouvelle fenêtre), le Premier ministre Sébastien Lecornu a publié un texte sur la collecte de certaines données de connexion. Une disposition portant atteinte à la vie privée des utilisateurs, affirment plusieurs internautes, qui s’étonnent aussi de son timing.
« Pour une raison mystérieuse, le premier décret de Lecornu oblige les fournisseurs d’accès à Internet et les réseaux sociaux à conserver votre activité sur Internet pendant un an »
, écrit par exemple un compte sur X (nouvelle fenêtre), tandis qu’un autre (nouvelle fenêtre) liste les données qui seraient stockées : « données de trafic »
, « de localisation »
, et celles « permettant d’identifier les contributeurs de contenus »
. Sous le « prétexte »
de protéger la « sécurité nationale »
, « l’État s’octroie le droit de surveiller toutes vos communications en ligne pendant un an — localisation, messages, identités, tout »
, s’indigne encore un autre (nouvelle fenêtre). Mais est-ce vraiment ce que prévoit ce décret ? Les Vérificateurs se sont penchés sur la question.
Les métadonnées collectées, « en lien avec la vie privée »
Précisons tout d’abord que ce décret n’est pas le tout premier de Sébastien Lecornu, mais compte bien parmi les premiers qu’il a signés. Quant à son contenu, certaines données évoquées par les internautes doivent bien être collectées, mais pas toutes. Et ce n’est par ailleurs pas la première fois qu’un tel texte est adopté.
Le décret n°2025-980 du 15 octobre 2025 (nouvelle fenêtre) porte bien sur une « injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d’un an de certaines catégories de données de connexion »
. S’ils sont sollicités par les services de police, les opérateurs téléphoniques et les plateformes en ligne doivent être en mesure de fournir des « données de trafic et de localisation »
aux enquêteurs, pendant 12 mois.
Concrètement, du côté des opérateurs, les entreprises doivent stocker plusieurs informations personnelles de leurs clients, listées à l’article R10-13 (nouvelle fenêtre) du code des postes et des communications électroniques : nom, prénom, date et lieu de naissance, adresse postale, numéro de téléphone, référence de paiement… Mais aussi les antennes où leur téléphone borne, et les métadonnées autour des échanges.
Autrement dit, l’opérateur collecte l’information selon laquelle tel numéro a appelé ou échangé des SMS avec tel autre, à telle heure et tel jour. En revanche, le contenu lui-même des échanges n’est pas accessible aux enquêteurs sur ce fondement. « Cela représenterait une violation du secret des correspondances. Mais les métadonnées sont malgré tout des informations en lien avec la vie privée »
, souligne Suzanne Vergnolle, maître de conférences en droit du numérique au Cnam. « Cette disposition reste intrusive, car elle permet de reconstruire le graphe social, de savoir qui est en relation avec qui »,
abonde Bastien Le Querrec, juriste au sein de la Quadrature du Net (nouvelle fenêtre), association très critique de cette disposition.
Des dispositions spécifiques pour les réseaux sociaux
Des règles spécifiques s’appliquent aussi aux fournisseurs d’accès à Internet. Selon l’article 6 d’un décret (nouvelle fenêtre) adopté en 2021, ils doivent notamment conserver des informations sur le début et la fin d’une connexion. Les plateformes en ligne, dont les réseaux sociaux, doivent quant à elles stocker pour chaque création de contenu l’identifiant qui en est à l’origine.
« Les réseaux comme Facebook ou X doivent savoir quel compte a publié quel message, et quelle est l’adresse IP qui est liée à ce compte. Mais aussi à quelle identité civile correspond une adresse IP sur laquelle la police enquête, si celle-ci leur en fait la demande »
, décrypte Bastien Le Querrec. Par contre, les messageries en ligne comme WhatsApp ne sont pas tenues de conserver des informations sur les communications, à savoir quel utilisateur contacte quel autre, mais uniquement les adresses IP à l’origine de ces échanges.
En résumé, plusieurs catégories de données personnelles sont bien conservées et peuvent être communiquées aux services de police dans le cadre d’une enquête sur des faits portant atteinte à la « sécurité nationale »
, mais pas le contenu des communications lui-même, contrairement à ce qu’affirment certains internautes. « Le décret est compliqué à déchiffrer, donnant lieu à de mauvaises compréhensions »
, concède Suzanne Vergnolle.
Une obligation décidée chaque année depuis 2021… et encadrée de longue date
Quant au calendrier de sa publication, ce n’est pas la première fois que ce type de disposition est adopté : en réalité, un décret similaire est signé chaque année en octobre depuis 2021. Et la législation sur le sujet remonte bien plus loin encore, au début des années 2000. « Il n’y a absolument rien de nouveau, la surveillance de ces données est organisée depuis 25 ans »
, insiste Bastien Le Querrec.
Modifié en 2004, le Code des postes et des communications électroniques (nouvelle fenêtre) prévoit à l’époque d’empêcher pendant un an maximum d’« effacer »
ou de « rendre anonymes certaines catégories de données techniques »
, pour des besoins d’enquête. Mais il ne mentionne pas l’enjeu de « sécurité nationale »
. Deux ans plus tard, une directive européenne (nouvelle fenêtre) valide une conservation de données de trafic et de localisation entre 6 mois et 2 ans, comme le rappelaient nos confrères de l’AFP Factuel en 2022 (nouvelle fenêtre). Mais elle est remise en cause en 2014 par un arrêt de la Cour de justice de l’Union européenne (nouvelle fenêtre), qui estime alors que cette disposition n’est pas « limitée au strict nécessaire »
.
Dans la foulée, la Quadrature du net initie un recours devant le Conseil d’État pour revenir sur la loi française. En réponse, l’institution estime (nouvelle fenêtre) que « la conservation généralisée et indifférenciée des données de connexion »
n’est justifiée que par « les besoins de la sécurité nationale en cas de menace grave »
. Et impose dès lors au gouvernement un « réexamen périodique de l’existence d’une telle menace »
. C’est pourquoi un décret est pris chaque année à l’automne pour renouveler cette injonction, en évoquant ce motif. La nature des données concernées a été par ailleurs précisée par trois décrets (nouvelle fenêtre) signés en octobre 2021.
« Un équilibre a été trouvé par le législateur, qui a restreint les motifs pour lesquels les enquêteurs peuvent avoir accès à ces données »
, résume Suzanne Vergnolle. Mais à ses yeux, des écueils persistent. « Il y a un gros problème de sécurisation des données par les opérateurs, chez qui
les fuites sont fréquentes
(nouvelle fenêtre). Et surtout, le motif de
‘menace contre la sécurité nationale’ reste très large »
, pose la professeure.
Pour autant, « les garanties sont meilleures qu’avant »
, estime-t-elle, soulignant que « le décret doit être renouvelé pour que l’obligation soit maintenue, ce qui est plutôt sain »
. A contrario, la Quadrature du net constate surtout que les gouvernements successifs signent ce décret chaque année depuis la décision du Conseil d’État, et craint que la situation ne perdure. « Cette décision a accepté que l’exception devienne le principe »
, déplore Bastien Le Querrec, qui exhorte de son côté à une « réforme en profondeur »
de la loi.
Vous souhaitez nous poser des questions ou nous soumettre une information qui ne vous paraît pas fiable ? N’hésitez pas à nous écrire à l’adresse lesverificateurs@tf1.fr. Retrouvez-nous également sur X : notre équipe y est présente derrière le compte @verif_TF1LCI.
